# Agenda Ransomware (Qilin) > Tipo: **ransomware RaaS** (Go/Rust) - S1242 - [MITRE ATT&CK](https://attack.mitre.org/software/S1242) > [!danger] Qilin Superou RansomHub em Q2 2025 - Ataque ao NHS Britanico Causou Crise de Saúde > O Agenda/Qilin e um ransomware RaaS escrito em Go (2022) e reescrito em Rust (2023), com variantes para Windows e VMware ESXi. Em junho de 2024, atacou o Synnovis (laboratorio de patologia do NHS britanico), cancelando 10.000 procedimentos medicos e transfusoes de sangue. Em 2025, tornou-se o grupo de ransomware mais ativo globalmente, superando o RansomHub no Q2. ## Visão Geral [[s1242-agenda-ransomware|Agenda]] (renomeado para **Qilin** em setembro de 2022, após criatura da mitologia chinesa) e um ransomware-as-a-service rastreado pelo MITRE como **S1242**. Descoberto pelo Trend Micro em agosto de 2022 com o nome "Agenda" - derivado da string nas notas de resgaté - o grupo usa linguagens modernas: inicialmente Go para compatibilidade multiplataforma, depois reescrito em **Rust** para melhor desempenho, evasão e compatibilidade com ESXi. O grupo ganhou notoriedade maxima em junho de 2024 com o **ataque ao Synnovis**, empresa de laboratorio de patologia que presta servicos ao NHS britanico (King's College Hospital, Guy's and St Thomas'). O ataque resultou em cancelamento de 10.000 consultas e procedimentos medicos, incluindo transfusoes de sangue, configurando uma crise de saúde pública. O grupo exigiu USD 50 milhões de resgaté. Em 2025, o Qilin emergiu como o grupo mais ativo globalmente, superando o RansomHub em termos de número de vitimas no Q2 2025. O [[s0226-smokeloader|SmokeLoader]] e o NETXLOADER sao documentados como vetores de distribuição do payload Agenda em campanhas recentes. **Plataformas:** Windows, Linux, VMware ESXi ## Como Funciona 1. **Acesso inicial multiplo:** Credenciais válidas em VPN/RDP ([[t1133-external-remote-services|T1133]] + [[t1078-valid-accounts|T1078]]) ou exploração de vulnerabilidades em servicos públicos ([[t1190-exploit-public-facing-application|T1190]]) 2. **Reconhecimento com ferramentas legítimas:** Ferramentas de RMM como AnyDesk, ScreenConnect, Splashtop e Atera ([[t1219-remote-access-software|T1219]]) instaladas para acesso fora de banda 3. **Dump de credenciais e escalada:** Mimikatz contra LSASS ([[t1003-001-lsass-memory|T1003.001]]), bypass de UAC ([[t1548-002-bypass-user-account-control|T1548.002]]), modificacao de registros para persistência ([[t1112-modify-registry|T1112]]) 4. **Desativacao de defesas:** PowerShell ([[t1059-001-powershell|T1059.001]]) desabilita AMSI, TLS e soluções de AV/EDR ([[t1562-001-disable-or-modify-tools|T1562.001]]). BYOVD (driver vulnerável) para encerrar processos de segurança 5. **ESXi targeting (variante Linux):** Script PowerShell automatiza enumeracao de vCenters, muda senha root dos hosts ESXi, habilita SSH e distribui payload para todos os hosts 6. **Criptografia AES-256 + RSA-2048:** Criptografia com execution guardrails ([[t1480-execution-guardrails|T1480]]) - verifica o ambiente antes de executar para evitar sandbox. Extensao customizavel por afiliado, nota `README-RECOVER.txt` 7. **Dupla extorsao:** Exfiltração de dados + ameaça de públicacao ([[t1657-financial-theft|T1657]]) ```mermaid graph TB A["Acesso inicial<br/>VPN sem MFA T1133<br/>CVEs em servicos T1190"] --> B["Ferramentas RMM<br/>AnyDesk / ScreenConnect<br/>T1219 - persistência"] B --> C["Escalada privilegios<br/>Mimikatz LSASS T1003.001<br/>UAC Bypass T1548.002"] C --> D["Desativar defesas<br/>BYOVD + PowerShell<br/>T1562.001 - AMSI off"] D --> E["ESXi PowerShell<br/>Enumera vCenter hosts<br/>Root password reset"] E --> F["Exfiltração dados<br/>WinSCP / Cyberduck<br/>Dupla extorsao preparada"] F --> G["Qilin / Agenda<br/>AES-256 + RSA-2048<br/>T1480 guardrails ativos"] classDef access fill:#e74c3c,color:#fff classDef rmm fill:#e67e22,color:#fff classDef priv fill:#8e44ad,color:#fff classDef evasion fill:#c0392b,color:#fff classDef esxi fill:#2980b9,color:#fff classDef exfil fill:#27ae60,color:#fff classDef encrypt fill:#2c3e50,color:#fff class A access class B rmm class C priv class D evasion class E esxi class F exfil class G encrypt ``` ## Timeline ```mermaid timeline title Agenda / Qilin - Historico Jul 2022 : Agenda identificado - escrito em Go : Site RaaS ativo no Tor Set 2022 : Renomeado para Qilin : Reescrito em Rust - melhor desempenho 2023 : Expansao global - ESXi como alvo principal : Integracao com SmokeLoader e NETXLOADER Jun 2024 : Ataque Synnovis / NHS britanico : 10.000 procedimentos cancelados - USD 50M exigidos 2025 : Qilin supera RansomHub como grupo mais ativo Q2 : Multiplas vitimas em setores criticos ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais válidas em VPN/RDP | | Initial Access | [[t1133-external-remote-services\|T1133]] | VPN e RDP sem MFA | | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | CVEs em servicos públicos | | Execution | [[t1059-001-powershell\|T1059.001]] | Scripts de automacao e desativacao | | Privilege Escalation | [[t1548-002-bypass-user-account-control\|T1548.002]] | Bypass de UAC | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | BYOVD + AMSI desabilitado | | Defense Evasion | [[t1480-execution-guardrails\|T1480]] | Verificação de ambiente antes de executar | | Credential Access | [[t1003-001-lsass-memory\|T1003.001]] | Mimikatz dump LSASS | | Lateral Movement | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP para movimento lateral | | C2 | [[t1219-remote-access-software\|T1219]] | AnyDesk / ScreenConnect fora de banda | | Persistence | [[t1112-modify-registry\|T1112]] | Modificacao de registro para persistência | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | AES-256 + RSA-2048 | | Impact | [[t1657-financial-theft\|T1657]] | Dupla extorsao com site de vazamento | ## Relevância LATAM/Brasil O [[s1242-agenda-ransomware|Qilin]] representa ameaça crescente para o Brasil por tres razoes. Primeira: o grupo e RaaS com afiliados internacionais que podem operar contra alvos brasileiros sem restricao geografica. Segunda: a integracao com [[s0226-smokeloader|SmokeLoader]] como vetor de entrega e relevante pois o SmokeLoader tem presenca documentada no Brasil via software pirata. Terceira: a especializacao em VMware ESXi e particularmente perigosa para data centers brasileiros - empresas de hospedagem, provedores de internet e corporacoes com infraestrutura virtualizada. O ataque ao Synnovis/NHS em 2024 estabelece precedente claro de que o Qilin nao tem restricoes contra atacar infraestrutura de saúde - um setor com alta vulnerabilidade no Brasil devido a sistemas legados e conectividade digital crescente. Hospitais universitarios federais e operadoras de saúde com virtualizacao VMware devem incluir o Qilin em sua modelagem de ameaças. **Setores impactados:** [[healthcare|saúde]] - [[technology|tecnologia]] - [[financial|financeiro]] - [[government|governo]] - [[education|educação]] ## Detecção - Monitorar conexoes de saida de servidores ESXi para IPs externos incomuns - sinal de comprometimento da variante Linux - Detectar criação de usuarios ou mudança de senhas em hosts ESXi via SSH em horarios fora do padrao - Alertar para instalacao de ferramentas RMM (AnyDesk, ScreenConnect) por contas nao-administrativas em servidores - Monitorar PowerShell desabilitando AMSI: `[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils')` ```sigma title: Qilin AMSI Bypass PowerShell status: stable logsource: category: process_creation product: windows detection: selection: Image|endswith: '\powershell.exe' CommandLine|contains: - 'AmsiUtils' - 'amsiInitFailed' - 'AmsiScanBuffer' condition: selection level: high tags: - attack.defense_evasion - attack.t1562.001 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S1242) MITRE ATT&CK - S1242 Qilin (2025) - [2](https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/qilin-ransomware/) Check Point - Qilin (Agenda) Ransomware Deep Dive (2024) - [3](https://www.picussecurity.com/resource/blog/qilin-ransomware) Picus Security - Qilin Ransomware Analysis TTPs and Defense (2025) - [4](https://www.trendmicro.com/zh_hk/research/25/e/agenda-ransomware-group-adds-smokeloader-and-netxloader-to-their.html) Trend Micro - Agenda Ransomware + SmokeLoader + NETXLOADER (2025) - [5](https://www.darktrace.com/blog/a-busy-agenda-darktraces-detection-of-qilin-ransomware-as-a-service-operator) Darktrace - Qilin RaaS Detection Insights (2024)